Politique de confidentialité
Dernière mise à jour : 05/06/2026
1. Préambule
La présente politique décrit la manière dont MedForm (ci-après « MedForm » ou « nous ») collecte, utilise et protège les données à caractère personnel dans le cadre de son service de pré-consultation médicale en ligne, conformément au Règlement (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée « Informatique et Libertés », et aux référentiels de la CNIL applicables au secteur de la santé.
2. Responsable de traitement et qualité de MedForm
Pour les données des praticiens utilisateurs (compte, facturation, usage du service) : MedForm agit en qualité de responsable de traitement.
Pour les données de santé des patients renseignées dans les formulaires de pré-consultation : le cabinet ou centre médical client agit en qualité de responsable de traitement, et MedForm agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Les engagements correspondants sont formalisés dans l’Accord de sous-traitance (DPA).
3. Données collectées et finalités
3.1 Données des praticiens (compte MedForm)
- Identité : nom, prénom, email professionnel
- Cabinet : raison sociale, adresse
- Données de connexion : adresse IP, journaux d’accès
- Données de facturation : moyen de paiement (traité par notre prestataire de paiement européen), historique d’abonnement
Finalités : gestion du compte, facturation, support, amélioration du service, conformité légale.
3.2 Données patients (pré-consultation)
- Identité : nom, prénom, email, téléphone (saisis par le praticien lors de l’envoi du formulaire)
- Réponses au formulaire : selon le contenu défini par le praticien, susceptible d’inclure des données de santé au sens de l’article 9 du RGPD (catégorie particulière)
- Métadonnées : date d’envoi, date d’ouverture, date de soumission, jeton d’accès
Finalités : permettre au praticien de préparer la consultation. La base légale est l’exécution du contrat entre le patient et le cabinet, ainsi que l’intérêt vital et les finalités de médecine préventive prévues à l’article 9.2.h) du RGPD.
3.3 Cookies et traceurs
Voir la politique de cookies dédiée.
4. Hébergement et localisation des données
L’ensemble de l’infrastructure technique de MedForm est hébergée chez OVH France, dans le centre de données de Roubaix (France). Les données — base de données patients, comptes-rendus médicaux, journaux applicatifs — sont stockées et chiffrées au repos sur le territoire français, conformément aux exigences de souveraineté numérique applicables aux données de santé.
Les emails transactionnels sont expédiés via un prestataire européen sous engagement contractuel conforme au RGPD. Les paiements sont traités par un prestataire européen agréé établissement de paiement.
4.1 Hébergement HDS (Hébergement de Données de Santé)
Le traitement de données de santé en France impose, à compter d’un certain seuil, un hébergement certifié HDS (Hébergement de Données de Santé — référentiel ASIP/ANS). L’infrastructure actuelle de MedForm n’est pas encore certifiée HDS : à ce stade, le service est proposé en mode pilote, et il appartient au praticien de ne pas y faire saisir des données de santé identifiantes hors usage autorisé. Une migration vers un hébergeur certifié HDS est planifiée avant toute mise en production commerciale à grande échelle.
5. Durée de conservation
- Compte praticien : pendant toute la durée du contrat, puis 3 ans à compter de la résiliation à des fins de prospection (sauf opposition).
- Données de facturation : 10 ans (obligation comptable, art. L.123-22 Code commerce).
- Réponses patients et PDF : conservés tant que le cabinet en a la nécessité, puis effacés selon les instructions du cabinet responsable de traitement (cf. DPA).
- Journaux techniques : 12 mois maximum.
- Cookies : 13 mois maximum.
6. Destinataires et sous-traitants
Les données peuvent être transmises à :
- Le praticien destinataire du formulaire (pour les données patients).
- Notre hébergeur français OVH France (Roubaix) et nos prestataires techniques européens encadrés par contrats de sous-traitance conformes à l’article 28 du RGPD. La génération IA des formulaires porte uniquement sur les schémas, pas sur les réponses patients en clair sans pseudonymisation.
- Les autorités compétentes sur réquisition légale.
Aucune donnée n’est cédée ou louée à des tiers à des fins commerciales.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- droit d’accès, de rectification, d’effacement
- droit à la limitation et à l’opposition du traitement
- droit à la portabilité
- droit de définir des directives post-mortem
- droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr)
Pour exercer ces droits, contactez-nous à : [email protected]. Nous répondrons dans un délai d’un mois à compter de la réception de votre demande.
Pour les données patients : le patient s’adresse en priorité au cabinet médical responsable de traitement ; MedForm assistera le cabinet dans la mise en œuvre de la demande conformément au DPA.
8. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.2+ des communications.
- Chiffrement au repos AES-256 des bases de données et du stockage objet.
- Authentification forte des praticiens (magic link, MFA possible).
- Chiffrement applicatif AES-256-GCM des informations d’authentification tierces (Doctolib).
- Politiques RLS (Row-Level Security) PostgreSQL pour cloisonner les données par cabinet.
- Journalisation des accès et actions sensibles.
- Tests de sécurité réguliers et processus de gestion des vulnérabilités.
9. Délégué à la protection des données (DPO)
Un DPO sera désigné dès lors que les seuils légaux (art. 37 RGPD) le rendront obligatoire, notamment dès le traitement à grande échelle de données de santé. Contact prévu : [email protected].
10. Modifications
La présente politique peut être modifiée pour refléter l’évolution du service ou la réglementation. Toute modification substantielle sera notifiée aux utilisateurs par email et via la plateforme au moins 15 jours avant son entrée en vigueur.